Integration mit Microsoft Azure AD

Für die Integration mit Azure AD müssen Sie eine App-Registrierung für Jamf Connect erstellen.
  1. Melden Sie sich dazu beim Microsoft Azure Portal an.
  2. Klicken Sie in der linken Seitenleiste auf Azure Active Directory
  3. Klicken Sie auf App-Registrierungen und anschließend auf Neue Registrierung.
  4. Geben Sie im Feld Name Jamf Connect oder eine benutzerdefinierte Bezeichnung ein.
  5. Wählen Sie unter „Unterstützte Kontotypen“ die Option Nur Konten in diesem Organisationsverzeichnis aus.
  6. Wählen Sie im Einblendmenü Weiterleitungs-URI die Option Öffentlicher Client (Mobilgerät und Desktop) aus und geben Sie im Feld Weiterleitungs-URI eine gültige URI ein, z. B. https://127.0.0.1/jamfconnect.
    Hinweis:

    Wenn Sie auch planen, die Jamf Unlock App in Ihrer Organisation zu verwenden, geben Sie jamfunlock://callback/auth als zusätzliche Weiterleitungs-URI für die Authentifizierung ein.

  7. Klicken Sie auf Registrieren.
Die Jamf Connect App-Registrierung wird Azure AD hinzugefügt.

Sie können die App-Registrierung jetzt bearbeiten, um Administratoreinwilligung für API-Aufrufe zu erteilen und Authentifizierungseinstellungen zu ändern.

Erteilen der Administratoreinwilligung für API-Aufrufe in Azure AD

  1. Navigieren Sie zu Ihrer App-Registrierung.
  2. Klicken Sie in der Seitenleiste im Abschnitt „Verwalten“ auf API-Berechtigungen.
  3. Klicken Sie in den Einstellungen für die Einwilligungserteilung für Ihr Unternehmen auf Administratoreinwilligung gewähren und dann auf Ja, wenn Sie dazu aufgefordert werden.

Ändern der App-Authentifizierungseinstellungen in Azure AD

  1. Navigieren Sie zu Ihrer App-Registrierung.
  2. Klicken Sie im Abschnitt „Verwalten“ der Seitenleiste auf Authentifizierung.
  3. Legen Sie in den erweiterten Einstellungen die Einstellung Öffentliche Clientflows zulassen auf Ja fest.
    Wichtig:

    Wenn diese Einstellung auf Ja gesetzt wird, wird der Tab User & groups (Benutzer und Gruppen) ausgeblendet, der normalerweise angezeigt wird, wenn Sie zu Azure AD Unternehmensanwendungen navigieren und Ihre App auswählen. Wenn Sie Ihrer Jamf Connect App bestimmte Benutzer und Gruppen zuweisen müssen, deaktivieren Sie diese Funktion und aktivieren Sie sie erst dann wieder, wenn die Benutzer und Gruppen zugewiesen wurden.

Zuweisen von Benutzern

Wenn Sie den Zugriff beschränken möchten, können Sie der Anwendung Benutzer zuweisen. Standardmäßig kann sich jeder Benutzer jeder Domäne bei der Anwendung authentifizieren. Zudem können Sie Folgendes tun:

  • Jamf Connect vor Benutzern verbergen. Somit können die Benutzer auf einem Computer nur mit der loginwindow Anwendung interagieren.

  • Ihrer Organisation die Administratoreinwilligung erteilen – Die zugehörige Option finden Sie in den Einstellungen der Anwendung unter „Berechtigungen“.

Wichtig:

Um sicherzustellen, dass der Tab „User & Groups“ (Benutzer & Gruppen) nicht unerwartet ausgeblendet wird, setzen Sie die Einstellung Öffentliche Clientflows zulassen in den Authentifizierungseinstellungen vorübergehend auf „Nein“. Nachdem Sie der Jamf Connect App Benutzer zugewiesen haben, können Sie diese Einstellung wieder aktivieren.

Zuweisen von App-Rollen

Sie können mit den in Azure festgelegten App-Rollen auch Benutzer als lokale Administratoren auf Computern erstellen. Zum Erstellen von Rollen müssen Sie zunächst das Anwendungsmanifest bearbeiten.

Hinweis:

Sie können App-Rollen auch mit der registrierten App-Rollen-UI von Microsoft Azure in der Vorschau bearbeiten. Um stattdessen die UI-Vorschau zu verwenden, navigieren Sie zur App-Registrierung und klicken Sie im Verwaltungsabschnitt in der Seitenleiste auf App-Rollen | Vorschau .

Anforderungen
Eine App-Registrierung für Jamf Connect in Azure AD.
  1. Klicken Sie in der linken Seitenleiste auf Azure Active Directory
  2. Klicken Sie auf App-Registrierungen und wählen Sie dann die von Ihnen registrierte Jamf Connect App aus.
  3. Klicken Sie auf Manifest.
  4. Navigieren Sie im Manifest zu "appRoles": [], und fügen Sie die Rolleneinträge zum Manifest hinzu. Anhand der unten aufgeführten Beispiele werden die Rollen „Admin“ und „Standard“ erstellt.
    Hinweis:

    Sie müssen für jede Rolle einen Universally Unique Identifier (UUID) erzeugen. Führen Sie im Terminal den folgenden Befehl aus, um eine UUID zu erzeugen: uuidgen | tr "[:upper:]" "[:lower:]"

    "appRoles": [
{
"allowedMemberTypes": [
"User"
],
"displayName": "Admin",
"id": "fdff90b7-df09-4c19-8ab0-158cc9dc62e4",
"isEnabled": true,
"description": "Members of the Admin group.",
"value": "Admin"
},
{
"allowedMemberTypes": [
"User"
],
"displayName": "Standard",
"id": "36610848-21ee-4cc0-afee-eaad59d442ea",
"isEnabled": true,
"description": "Members of the Standard group.",
"value": "Standard"
}
], 
  5. Klicken Sie auf Speichern.

Sie können jetzt explizit Benutzer zu der Applikation hinzufügen und Rollen definieren. Standardmäßig erhalten Benutzer, die mit der Rolle „Admin“ als lokale Administratoren auf einem Computer erstellt werden, Administratorberechtigungen. Wenn allerdings der Einstellungsschlüssel CreateAdminUser aktiviert ist, erhalten alle Benutzer Administratorberechtigungen. Die Liste der Rollen, mit denen Benutzer Administratorberechtigungen erhalten, kann ebenfalls mit dem Einstellungsschlüssel OIDCAdmin aktiviert werden. Um dem Azure Token eines Benutzers Rollen hinzuzufügen, müssen Sie in den Anwendungseinstellungen die Option „User Assignment (Benutzerzuweisung)“ als erforderlich konfigurieren.

Hinweis:

Wenn Sie Jamf Connect mit der automatischen Geräteregistrierung (ehemals DEP) verwenden, müssen Sie diese Anwendung aus allen Kontrolllisten für bedingten Zugriff entfernen. Der Benutzer meldet sich beim Computer an, bevor ein bedingter Zugriff instanziiert werden kann.